2009-04-15
안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다.
08년 12월 12일 KrCERT 홈페이지에 보안공지한 [MS 워드패드 신규 취약점으로 인한 피해
주의] 및 지난 2월 25일 보안공지한 [MS Excel 신규 원격코드실행 취약점으로 인한 피해
주의] 등 해킹에 악용 가능한 취약점에 대한 4월 MS 정기보안업데이트가 발표되었으니,
조속히 패치하시기 바랍니다. 해당 시스템 운영하시는 고객분께서는 반드시 아래내용을 숙지하시고 업데이트를 실시 하시기 바랍니다
문의 : 02-6265-1108
담당자 : 김봉기 주임
[MS09-009] MS Office Excel 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o MS Office Excel에서 조작된 개체가 포함된 Excel 파일을 처리할 때 메모리와 스택 조작에러로
인한 원격코드 실행 취약점 발생
o 공격자는 조작된 Excel 파일을 사용자에게 전송하여 이를 열어보도록 유도함. 공격이 성공하면
공격자는 프로그램 설치, 삭제, 계정 생성 등 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- Memory Corruption Vulnerability - CVE-2009-0100
- Memory Corruption Vulnerability - CVE-2009-0238
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Office 2000 SP3
- Microsoft Office XP SP3
- Microsoft Office 2003 SP3
- 2007 Microsoft Office System SP1
- Microsoft Office Excel Viewer
- Microsoft Office Excel Viewer 2003 SP3
- Microsoft Office Compatibility Pack for Word, Excel, PowerPoint 2007 File Formats SP1
- Microsoft Office 2004 for Mac
- Microsoft Office 2008 for Mac
o 영향 받지 않는 소프트웨어
- Microsoft Works 8.5, 9.0
- Microsoft Works Suite 2005, 2006
- OpenXML File Format Converter for Mac
- Microsoft Office File Converter Pack
- Microsoft Office SharePoint Server 2003 SP3
- Microsoft Office SharePoint Server 2007, SP1 (32-bit editions)
- Microsoft Office SharePoint Server 2007, SP1 (64-bit editions)
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-009.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-009.mspx
[MS09-010] WordPad 및 Office 텍스트 변환기 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o WordPad 및 Microsoft Office에서 조작된 Word 파일을 처리할 때 문제점으로 인한 원격코드실행
취약점이 존재
※ Word 파일 : Word 6, Word 97, WordPerfect 문서
o 공격자는 조작된 Word 파일을 사용자에게 전송하여 이를 열어보도록 유도함. 공격이 성공하면
공격자는 프로그램 설치, 삭제, 계정 생성 등 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- WordPad and Office Text Converter Memory Corruption Vulnerability - CVE-2009-0087
- WordPad Word 97 Text Converter Stack Overflow Vulnerability - CVE-2008-4841
- Word 2000 WordPerfect 6.x Converter Stack Overflow Vulnerability - CVE-2009-0088
- WordPad Word97 Text Converter Stack Overflow Vulnerability - CVE-2009-0235
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 SP4
- Microsoft Windows XP SP2, SP3
- Microsoft Windows XP Professional x64 Edition, SP2
- Microsoft Windows Server 2003 SP1, SP2
- Microsoft Windows Server 2003 x64 Edition, SP2
- Microsoft Windows Server 2003 with SP1, SP2 for Itanium-based Systems
- Microsoft Office 2000 SP3
- Microsoft Office XP SP3
- Microsoft Office Converter Pack
o 영향 받지 않는 소프트웨어
- Microsoft Windows Vista, SP1
- Microsoft Windows Vista x64 Edition, SP1
- Microsoft Windows Server 2008 for 32-bit Systems
- Microsoft Windows Server 2008 for x64-based Systems
- Microsoft Windows Server 2008 for Itanium-based Systems
- Microsoft Office Word 2003 SP3
- Microsoft Office Word 2007 SP1
- Microsoft Office Word Viewer
- Microsoft Office Word Viewer 2003 SP3
- Microsoft Office Compatibility Pack for Word, Excel, PowerPoint 2007 File Formats SP1
- Microsoft Office 2004 for Mac
- Microsoft Office 2008 for Mac
- OpenXML File Format Converter for Mac
- Microsoft Works 8.0, 8.5, 9.0
- Microsoft Works Suite 2006
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-010.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-010.mspx
[MS09-011] Microsoft DirectShow 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o MS DirectShow에서 특수하게 조작된 MJPEG 형식의 파일을 처리하는 과정에서 원격코드실행
취약점 존재
o 공격자는 조작된 MJPEG 파일을 웹 상에 구성해 놓고 사용자가 열어볼 수 있도록 웹 페이지 방문
을 유도함. 공격이 성공하면 공격자는 프로그램 설치, 삭제, 계정 생성 등 영향 받는 시스템에
대해 완전한 권한 획득 가능
o 관련취약점 :
- MJPEG Decompression Vulnerability - CVE-2009-0084
※ MJPEG : Motion JPEG, 개별적인 JPEG 이미지들을 압축시켜 동영상을 만드는 포맷
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- DirectX 8.1, 9.0 on Windows 2000 SP4
- DirectX 9.0 on Windows XP SP2, SP3
- DirectX 9.0 on Windows XP Professional x64 Edition, SP2
- DirectX 9.0 on Windows Server 2003 SP1, SP2
- DirectX 9.0 on Windows Server 2003 x64 Edition, SP2
- DirectX 9.0 on Windows Server 2003 SP1, SP2 for Itanium-based Systems
o 영향 받지 않는 소프트웨어
- Microsoft Windows Vista, SP1
- Microsoft Windows Vista x64 Edition, SP1
- Microsoft Windows Server 2008 for 32-bit Systems
- Microsoft Windows Server 2008 for x64-based Systems
- Microsoft Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-011.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-011.mspx
[MS09-012] Windows 취약점으로 인한 권한상승 문제
□ 영향
o 공격자가 영향 받는 시스템에 접근할 수 있는 권한을 획득할 수 있음
□ 설명
o Windows 내부 네트워크 및 로컬 서비스 계정을 처리하는 과정에서의 문제점으로 인한
원격코드실행 취약점 존재
o 공격이 성공하면 공격자는 프로그램 설치, 삭제, 계정 생성 등 영향 받는 시스템에 대해 완전한
권한 획득 가능
o 관련취약점 :
- Windows MSDTC Service Isolation Vulnerability - CVE-2008-1436
- Windows WMI Service Isolation Vulnerability - CVE-2009-0078
- Windows RPCSS Service Isolation Vulnerability - CVE-2009-0079
- Windows Thread Pool ACL Weakness Vulnerability - CVE-2009-0080
※ MSDTC : Microsoft Distributed Transaction Coordinator, 윈도우즈 플랫폼에서의 분산
처리 기능을 제공
※ WMI : Windows Management Instrumentation, 윈도우즈 운영체제를 제어, 모니터링 등의
관리 목적으로 제공되는 기능
※ RPCSS : Remote Procedure Call(RPC) System Service, 원격 프로시저 호출을 제어하는
시스템 서비스
o 영향 : 권한상승
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 SP4
- Microsoft Windows XP SP2, SP3
- Microsoft Windows XP Professional x64 Edition, SP2
- Microsoft Windows Server 2003 SP1, SP2
- Microsoft Windows Server 2003 x64 Edition, SP2
- Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
- Microsoft Windows Vista, SP1
- Microsoft Windows Vista x64 Edition, SP1
- Microsoft Windows Server 2008 for 32-bit Systems
- Microsoft Windows Server 2008 for x64-based Systems
- Microsoft Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-012.mspx
[MS09-013] Windows HTTP 서비스 취약점으로 인한 원격코드실행 문제
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o Windows HTTP 서비스에서 원격 웹 서버에서 반환된 특정 값을 처리하는 과정에서 원격코드실행
취약점 존재
o 공격자는 악의적인 웹 사이트를 구성하여 사용자가 해당 사이트에 방문하도록 유도함.
공격이 성공하면 공격자는 영향 받는 시스템에 대해 접근할 수 있는 권한 획득 가능
o 관련취약점 :
- Windows HTTP Services Integer Underflow Vulnerability - CVE-2009-0086
- Windows HTTP Services Certificate Name Mismatch Vulnerability - CVE-2009-0089
- Windows HTTP Services Credential Reflection Vulnerability - CVE-2009-0550
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 SP4
- Microsoft Windows XP SP2, SP3
- Microsoft Windows XP Professional x64 Edition, SP2
- Microsoft Windows Server 2003 SP1, SP2
- Microsoft Windows Server 2003 x64 Edition, SP2
- Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
- Microsoft Windows Vista, SP1
- Microsoft Windows Vista x64 Edition, SP1
- Microsoft Windows Server 2008 for 32-bit Systems
- Microsoft Windows Server 2008 for x64-based Systems
- Microsoft Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-013.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-013.mspx
[MS09-014] Internet Explorer 누적 보안업데이트
□ 영향
o 공격자가 영향 받는 시스템에 대해 완전한 권한 획득
□ 설명
o Internet Explorer에서 초기화되지 않은 메모리에 접근하거나 조작된 파일을 처리하는 과정에서
발생하는 메모리 문제로 인하여 원격코드가 실행될 수 있음
o 공격자는 악의적인 웹 사이트를 구성하여 사용자가 해당 사이트에 방문하도록 유도함.
공격이 성공하면 공격자는 영향 받는 시스템에 대해 완전한 권한 획득 가능
o 관련취약점 :
- Blended Threat Remote Code Execution Vulnerability - CVE-2008-2540
- WinINet Credential Reflection Vulnerability - CVE-2009-0550
- Page Transition Memory Corruption Vulnerability - CVE-2009-0551
- Uninitialized Memory Corruption Vulnerability - CVE-2009-0552
- Uninitialized Memory Corruption Vulnerability - CVE-2009-0553
- Uninitialized Memory Corruption Vulnerability - CVE-2009-0554
o 영향 : 원격코드실행
o 중요도 : 긴급
□ 해당시스템
o 영향 받는 소프트웨어
- Internet Explorer 5.01 SP4 for Microsoft Windows 2000 SP4
- Internet Explorer 6.0 SP1 for Microsoft Windows 2000 SP4
- Internet Explorer 6 for Microsoft Windows XP SP2, SP3
- Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition, SP2
- Internet Explorer 6 for Microsoft Windows Server 2003 SP1, SP2
- Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition, SP2
- Internet Explorer 6 for Microsoft Windows Server 2003 SP1, SP2 for
Itanium-based Systems
- Internet Explorer 7 for Microsoft Windows XP SP2, SP3
- Internet Explorer 7 for Microsoft Windows XP Professional x64 Edition, SP2
- Internet Explorer 7 for Microsoft Windows Server 2003 SP1, SP2
- Internet Explorer 7 for Microsoft Windows Server 2003 SP1, SP2 for
Itanium-based Systems
- Internet Explorer 7 for Microsoft Windows Server 2003 x64 Edition, SP2
- Internet Explorer 7 for Microsoft Windows Vista, SP1
- Internet Explorer 7 for Microsoft Windows Vista x64 Edition, SP1
- Internet Explorer 7 for Microsoft Windows Server 2008
- Internet Explorer 7 for Microsoft Windows Server 2008 x64 Edition
- Internet Explorer 7 for Microsoft Windows Server 2008 for Itanium-based Systems
o 영향 받는지 않는 소프트웨어
- Internet Explorer 8 for Microsoft Windows XP SP2, SP3
- Internet Explorer 8 for Microsoft Windows XP Professional x64 Edition, SP2
- Internet Explorer 8 for Microsoft Windows Server 2003 SP1, SP2
- Internet Explorer 8 for Microsoft Windows Server 2003 x64 Edition, SP2
- Internet Explorer 8 for Microsoft Windows Server 2003 SP1, SP2 for
Itanium-based Systems
- Internet Explorer 8 for Microsoft Windows Vista, SP1
- Internet Explorer 8 for Microsoft Windows Vista x64 Edition, SP1
- Internet Explorer 8 for Microsoft Windows Server 2008
- Internet Explorer 8 for Microsoft Windows Server 2008 x64 Edition
- Internet Explorer 8 for Microsoft Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-014.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-014.mspx
[MS09-015] SearchPath의 혼합 보안위협 취약점으로 인한 권한상승 문제
□ 영향
o 공격자가 영향 받는 시스템에 접근할 수 있는 권한을 획득할 수 있음
□ 설명
o Windows의 SearchPath 기능이 시스템에 대한 접근방식에서의 문제점으로 인한 권한상승
문제가 존재
※ SearchPath : 지정된 경로에서 특정 파일을 검색하는 기능을 제공하는 프로그래밍 인터페이스
o 공격자는 사용자가 특수하게 조작된 파일을 다운로드 및 접근할 수 있도록 유도함. 공격이
성공하면 공격자는 영향 받는 시스템에 대해 접근할 수 있는 권한 획득 가능
o 관련취약점 :
- Blended Threat Elevation of Privilege Vulnerability - CVE-2008-2540
o 영향 : 권한상승
o 중요도 : 보통
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Windows 2000 SP4
- Microsoft Windows XP SP2, SP3
- Microsoft Windows XP Professional x64 Edition, SP2
- Microsoft Windows Server 2003 SP1, SP2
- Microsoft Windows Server 2003 x64 Edition, SP2
- Microsoft Windows Server 2003 for Itanium-based Systems SP1, SP2
- Microsoft Windows Vista, SP1
- Microsoft Windows Vista x64 Edition, SP1
- Microsoft Windows Server 2008 for 32-bit Systems
- Microsoft Windows Server 2008 for x64-based Systems
- Microsoft Windows Server 2008 for Itanium-based Systems
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-015.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-015.mspx
[MS09-016] MS ISA 서버 및 Forefront Threat Management Gateway
(Medium Business Edition) 취약점으로 인한 서비스 거부 취약점
□ 영향
o 공격자가 영향 받는 시스템의 기능을 정지하거나 다운시킬 수 있는 서비스거부 공격
※ ISA Server : Internet Security and Acceleration Server, 웹 서버 및 기타 서버 환경을
기반으로 하는 윈도우즈 시스템에서의 방화벽과 웹 캐쉬 솔루션을 통합시켜 제공하는 솔루션
□ 설명
o 방화벽 엔진에서 웹 프록시 또는 웹 게시 수신기의 TCP상태를 처리하는 방식에서
서비스 거부 취약점이 존재
o 공격이 성공하면 웹 수신기의 기능이 정지되거나 다운되어 새로운 요청에 응답할 수 없는
상태로 만들 수 있음
o 관련취약점 :
- Web Proxy TCP State Limited Denial of Service Vulnerability - CVE-2009-0077
- Cross-Site Scripting Vulnerability - CVE-2009-0237
o 영향 : 서비스 거부
o 중요도 : 중요
□ 해당시스템
o 영향 받는 소프트웨어
- Microsoft Forefront Threat Management Gateway, Medium Business Edition
- Microsoft Internet Security and Acceleration Server 2004 Standard Edition SP3
- Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition SP3
- Microsoft Internet Security and Acceleration Server 2006
- Microsoft Internet Security and Acceleration Server 2006 Supportability Update
- Microsoft Internet Security and Acceleration Server 2006 SP1
o 영향 받는지 않는 소프트웨어
- Microsoft Internet Security and Acceleration Server 2000 SP2
□ 해결책
o 해당 시스템에 대한 마이크로소프트사의 취약점 패치 적용
□ 참조사이트
o 영문 : http://www.microsoft.com/technet/security/Bulletin/MS09-016.mspx
o 한글 : http://www.microsoft.com/korea/technet/security/bulletin/MS09-016.mspx
참조 : 인터넷침해사고대응센터